2017 achelos. Benjamin Eikel

Transkript

1 2017 achelos Benjamin Eikel

2 Bedrohungspotential Systeme kommunizieren über öffentliche Netzwerke Internet, Funknetzwerke Daten können abgehört und verändert werden Schutz der Integrität der Daten Sensordaten, Steuersignale Verhinderung des Mitlesens durch Dritte Geschäftsgeheimnisse, personenbezogene Daten Identifikation der Kommunikationspartner Verträge Häufig werden alle diese Maßnahmen benötigt Bankgeschäfte 2017 achelos Benjamin Eikel Testumgebungen für TLS und IKE 2

3 Protokolle TLS und IKE/IPsec Transport Layer Security (TLS) Version 1.2 definiert in RFC 5246 Nachfolger von Secure Sockets Layer (SSL) Im Internet weit verbreitet (z. B. Webseiten, ) Internet Key Exchange (IKE) Version 2 (IKEv2) definiert in RFC 7296 Führt Authentifizierung und Schlüsselaustausch durch Internet Protocol Security (IPsec) ist eine Protokollfamilie Encapsulating Security Payload (ESP) definiert in RFC 4303 ESP sichert IP-Pakete Wird etwa von VPN-Gateways verwendet Protokolle garantieren Echtheit, Integrität und Vertraulichkeit 2017 achelos Benjamin Eikel Testumgebungen für TLS und IKE 3

4 Protokolle TLS und IKE/IPsec im Schichtenmodell OSI-Schichten TCP/IP-Schichten Beispiele Application Presentation Session Transport Network Data link Physical Application Transport Internet Link HTTP, FTP, SMTP TLS TCP, UDP IP, IPsec Ethernet, WLAN 2017 achelos Benjamin Eikel Testumgebungen für TLS und IKE 4

5 Protokolle TLS-Handshake achelos Benjamin Eikel Testumgebungen für TLS und IKE 5

6 Protokolle TLS-Handshake achelos Benjamin Eikel Testumgebungen für TLS und IKE 6

7 Anwendungen Telekommunikation SM-SR Subscription Management Secure Routing (Dienst) HTTPS-Server TLS-Server ID PSK HTTP-Sitzungsauslöser MT-SMS Internet TLS (SCP 81) euicc Embedded UICC (integrierte Chipkarte) HTTPS-Client TLS-Client ID PSK 2017 achelos Benjamin Eikel Testumgebungen für TLS und IKE 7

8 Anwendungen Energiewirtschaft SMGW-Admin SMGW Smart Meter Gateway Administrator TLS-Server Wake-Up-Paket Internet Smart Meter Gateway (intelligentes Messsystem) TLS-Client ID X.509 TLS ID X achelos Benjamin Eikel Testumgebungen für TLS und IKE 8

9 Anwendungen Industrie Standort 1 Standort 2 Fernwartung VPN- Gateway IPsec VPN- Gateway Maschine Internet 2017 achelos Benjamin Eikel Testumgebungen für TLS und IKE 9

10 Anwendungen Gesundheitssystem Quelle: [gemkpt_arch_tip], V1.8.0, Abb achelos Benjamin Eikel Testumgebungen für TLS und IKE 10

11 Problemstellung: Konfiguration Verschiedene Verfahren und Kombinationsmöglichkeiten Authentifizierung: PSK, X.509-Zertifikate, EAP, Schlüsselaushandlung: RSA, DHE, ECDHE, Verschlüsselung: 3DES, AES-CBC, AES-GCM, Schlüssellängen: 256 Bit AES, 2048 Bit RSA, 521 Bit EC, Verschiedene Protokollversionen IKEv1, IKEv2 SSL 3.0, TLS 1.0, 1.1 und 1.2, bald TLS 1.3 Protokollimplementierungen unterstützen Vieles Eine Anwendung benötigt häufig nur eine kleine Teilmenge Sichere Konfiguration notwendig 2017 achelos Benjamin Eikel Testumgebungen für TLS und IKE 11

12 Problemstellung: Implementierung Sichere Implementierung der Protokolle notwendig Schlüssel in sicherem Speicher Nicht vorhersagbare Zufallszahlen Keine Seitenkanäle über etwa Zeitverhalten (z. B. Möglichkeit für Padding-Orakel) Kein Erzwingen des Verhaltens alter Protokollversionen Auch weit verbreitete Bibliotheken weisen regelmäßig Sicherheitslücken auf Attacken: Lucky Thirteen (2013), Heartbleed (2014), POODLE gegen TLS (2014), 2017 achelos Benjamin Eikel Testumgebungen für TLS und IKE 12

13 Sicherheitstests Notwendigkeit Vorhandensein von bekannten Sicherheitslücken ausschließen Sichere Konfiguration anhand von Vorgaben (z. B. BSI) Implementierung auf bekannte Sicherheitslücken abprüfen Zertifizierungen können Sicherheitstests fordern Protection Profiles (PP) nach Common Criteria (CC) PCI-DSS ISO/IEC achelos Benjamin Eikel Testumgebungen für TLS und IKE 13

14 Sicherheitstests Automatisierung Einige Prüfungen können nur manuell erfolgen Begutachtung der Quellen (z. B. sicheres Löschen von internen Daten) Viele Abläufe können automatisiert geprüft werden Verhalten an der Schnittstelle nach außen Vorteile durch Testautomatisierung Schnelle Durchführung Einheitliche Prüfberichte Reproduzierbarkeit 2017 achelos Benjamin Eikel Testumgebungen für TLS und IKE 14

15 Marktüberblick IKE-Werkzeuge ike-scan strongswan conftest Erkennung von IKE- Respondern Veränderung von Payloads (z. B. Transforms) Konfigurationsdatei ungültige Werte fehlerhaftes Protokollverhalten 2017 achelos Benjamin Eikel Testumgebungen für TLS und IKE 15

16 Marktüberblick TLS-Testskripte FlexApps tlsfuzzer bekannte Schwachstellen Fuzzing mit SmackTLS fehlerhaftes Protokollverhalten Testfälle in F# basierend auf mitls bekannte Schwachstellen Fuzzing fehlerhaftes Protokollverhalten TLS-Konfiguration Testfälle als Python-Skripte 2017 achelos Benjamin Eikel Testumgebungen für TLS und IKE 16

17 Marktüberblick Webseiten für TLS-Tests 1 CryptCheck Observatory by Mozilla Zertifikat TLS-Konfiguration Schulnote für Gesamtergebnis und Teilergebnisse Zertifikat TLS-Konfiguration Vergleich mit Mozilla- Richtlinien Schulnote für Gesamtergebnis 2017 achelos Benjamin Eikel Testumgebungen für TLS und IKE 17

18 Marktüberblick Webseiten für TLS-Tests 2 HT Bridge SSL Server Security Test Qualys SSL Labs + bekannte Schwachstellen Vergleich mit HIPAA-, NISTund PCI-DSS-Richtlinien + bekannte Schwachstellen Simulation diverser Clients Test des Browsers 2017 achelos Benjamin Eikel Testumgebungen für TLS und IKE 18

19 Marktüberblick IWL Maxwell Pro TLS Test Suite TLS-Konfiguration bekannte Schwachstellen ungültige Werte fehlerhaftes Protokollverhalten Testbericht mit Beschreibung der Testidee und Referenz zum RFC 2017 achelos Benjamin Eikel Testumgebungen für TLS und IKE 19

20 achelos Testumgebung Testsuites Testfallspezifikation in Zusammenarbeit mit TÜViT Ausgerichtet auf CC- Evaluierungsverfahren Automatische Tests für BSI-Anforderungen Checkliste für TLS nach BSI TR achelos Benjamin Eikel Testumgebungen für TLS und IKE 20

21 achelos Testumgebung Testabdeckung Überprüfung der TLS-Konfiguration Protokollversion (kein SSL 3.0, TLS 1.0, ) Cipher-Suite (keine EXPORT-Cipher-Suites, keine schwachen Verschlüsselungsalgorithmen, ) Kryptographische Parameter (RSA-Schlüssellänge 2048 Bit, ) Protokollerweiterungen (TLS-Komprimierung, Heartbeat, ) Tests auf korrekte Implementierung Robuste Protokollimplementierung (Manipulation der Nachrichtenreihenfolge, ) Korrekte Prüfung des Paddings (Einfügen ungültiger Padding-Werte) Constant-Time-Implementierung (z. B. Lucky-Thirteen-Attacke) 2017 achelos Benjamin Eikel Testumgebungen für TLS und IKE 21

22 achelos Testumgebung TLS-Testwerkzeug 2017 achelos Benjamin Eikel Testumgebungen für TLS und IKE 22

23 achelos Testumgebung IKE-Testwerkzeug 2017 achelos Benjamin Eikel Testumgebungen für TLS und IKE 23

24 achelos Testumgebung Nachvollziehbarkeit Testfallspezifikation verwendet Wortwahl der relevanten RFCs Keine Implementierungsdetails Testbericht beinhaltet Testfallidee und -spezifikation vom Testfall durchgeführte Prüfungen (erwartetes/tatsächliches Ergebnis) Details der Netzwerkkommunikation Zusätzlich Netzwerkmitschnitt (PCAP-Datei) zu jedem Testfall 2017 achelos Benjamin Eikel Testumgebungen für TLS und IKE 24

25 Fazit Weite Verbreitung der Protokolle TLS und IKE/IPsec Konfiguration und Implementierung können Sicherheitslücken aufweisen Automatische Tests bieten Zeitersparnis und Reproduzierbarkeit Verschiedene Lösungen am Markt achelos Testumgebung mit detaillierter Protokollierung und Ausrichtung auf CC-Evaluierungsverfahren 2017 achelos Benjamin Eikel Testumgebungen für TLS und IKE 25

26 achelos GmbH Dr. Benjamin Eikel Vattmannstraße Paderborn Telefon: benjamin.eikel@achelos.de achelos Benjamin Eikel Testumgebungen für TLS und IKE 26